Bankir.Ru
2 декабря, пятница 23:14

Объявление

Свернуть

Третья ежегодная конференция-консилиум «ИТ-бюджет банка - 2017»

Показать больше
Показать меньше

Сертификация средств шифрования в ФАПСИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сертификация средств шифрования в ФАПСИ

    День добрый! Использую для подписи и шифрования в клиент-банке продукты Ланкрипто, но с сентября, по правительственному поставлению, банки могут использовать _только_ средства шифрации сертифицированные ФАПСИ.
    Ланкрипто не сертифицирован, т.к. производители называют его средством защиты от несакционированного доступа, а не средством шифрования. Требуют ли у кого безопасники смены средств подписи и шифрования на сертифицированные, насколько остро стоит эта проблема у Вас? Как всегда грозят санкциями ...

  • #2
    Если не сложно, то номер постановления, название и дату...
    С уважением

    SunDog

    Комментарий


    • #3
      Я так полагаю, имелось в виду следующее:

      от 23 сентября 2002 г. N 691

      ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ

      В частности,
      ==========

      2. К шифровальным (криптографическим) средствам относятся:
      а) средства шифрования - аппаратные, программные и аппаратно - программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
      б) средства имитозащиты - аппаратные, программные и аппаратно - программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
      в) средства электронной цифровой подписи - аппаратные, программные и аппаратно - программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
      г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
      д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
      е) ключевые документы (независимо от вида носителя ключевой информации).
      .............................

      4. Лицензирование деятельности по распространению шифровальных (криптографических) средств осуществляется Федеральным агентством правительственной связи и информации при Президенте Российской Федерации (далее именуется - лицензирующий орган).
      ==========

      А есть и ещё более интересное постановление:

      от 30 апреля 2002 г. N 290

      Рекомендую ознакомиться:
      ===========
      2. Конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством Российской Федерации.
      Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.
      3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Государственная техническая комиссия при Президенте Российской Федерации (далее именуется - лицензирующий орган).
      ===========

      ... "И, просветлённый, отошёл"
      /kiv

      Комментарий


      • #4
        SunDog Да, совершенно точно.

        Комментарий


        • #5
          Здоровая конкуренция залог успеха.

          Комментарий


          • #6
            AAL
            Как утверждал г. Лебелев (пр-нт "Ланкрипто"), главное, правильно назвать инструмент, которым пользуешся:
            - если средства криптозащиты - то дорога в ФАПСИ
            -если средства технической защита конфиденциальной информации - то дорога в ГТК. Кстати у ЛАНКРИПТО , по-моему, есть сертификат и лицензия ГТК.

            Комментарий


            • #7
              BMB не всё так просто.
              Если Вы используете криптографию - см.перечень - то получаете лицензии (в общем случае, несколько) ФАПСИ. Там же в постановлении есть перечень этих самых лицензий, ну как минимум Вас коснётся вот это:

              ==========
              3. Деятельность по предоставлению услуг в области шифрования информации включает в себя:
              .....
              б) имитозащиту информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
              в) предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации, не содержащей сведений, составляющих государственную тайну;
              г) обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации, не содержащей сведений, составляющих государственную тайну.
              ===========

              Тут никаким словоблудием не отделаться, поскольку в Постановлении есть перечень исключений из лицензирования - в общем, ПК с софтом Ланкрипто в нём не перечислены.

              Однако это только половина беды.

              Вторая половина - это "техническая защита". Тут текст настолько широкий, что под него опять попадает всё на свете, включая замки на дверях серверной комнаты, но спасает одна оговорка - "услуг". Если Вы тогруете услугами по защите - то получаете лицензию однозначно, если нет - то впарить её Вам будет проблематично, если, конечно Вы не навтыкали неподходящих слов (типа "во исполнение приказа по защите информации от НСД...выполнить мероприятия" -опп-а, выполняющий нарушил постановление) во всякие внутренние приказы и т.п. (и скорее всего, никто этим впариванием заниматься не будет).

              Примерно так ситуацию объяснили мне наши юристы...
              /kiv

              Комментарий


              • #8
                Илюха Задал вопрос на правовом форуме Ланкрипто, ответили следующее:
                " ... в соответствии с ныне действующими нормативными актами РФ ФАПСИ рамках внутриведомственной системы сертификации
                «Система сертификации СКЗИ (РОСС RU.0001.030001 от 15 ноября 1993 г.)» описывает добровольную (!!!) (это ее официальный статус по Федеральному закону РФ «О сертификации продуктов и услуг&raquo
                может осуществлять сертификацию шифровальных (криптографических) средств. Определение «крипторафического преобразования» информации дано на сегодняшний день в единственном нормативном документе РФ – старом государтственном стандарте СССР на шифрование даных - ГОСТ 28147-89 – «Алгоритм криптографического преобразования», действие которого в России основывается на решении о временном его продлении, принятом в 1993 году.
                Это определение таково: «Криптографическое преобразование – преобразование данных при помощи шифрования и (или) выработки имитовставки».

                Для пояснения этого определения необходимо привести определение имитовставки, которое дано в том же единственном на сегодня официальном нормативном документе по этой теме.

                «Имитовставка – отрезок информации фиксированной длины, полученной по определенному правилу из открытых данных и ключа и добавленный к зашифрованным данным для обеспечения имитозащиты.»

                Для того, чтобы в данном вопросе с нашими программами была полная ясность мы еще в 1996 году четко отграничили свою цифровую подпись «Нотариус»и кодирования "Весту" от возможности подобной трактовки как понятийно (мы используем термин «цифровая подпись&raquo, так и по существу, поскольку в этих программах применяются специальные алгоритмы, не относящийся к «криптографическим преобразования информации» (в терминологии ФАПСИ), оформленные в 1998 году в качестве отраслевых стандартов РФ.

                Также в 1999 г. мы сертифицировали все свои программые продукты на соответствие этим ОСТам в единой Государственной системе сертификации программного обеспечения ГОСТ Р. В 2002 году мы продлили действие данных сертификатов. Посмотреть их возможно на нашем сайте. "

                Комментарий


                • #9
                  Смайлики образовались самостоятельно ....

                  Комментарий


                  • #10
                    deus_ex Всё верно. Я просто говорил о сентябрьских постановлениях.

                    Теперь о позиции Ланкрипто.

                    Можно, конечно, говорить, что их преобразования не являются электронной подписью и не применяются для защиты информации - но таким образом можно и вообще никакой криптографией не пользоваться. Делаете авторизацию по паролю на zip-архиве и вперёд. Главное, при этом ещё не упоминать вообще защиту информации, чтоб Гостехкомиссия не прищучила...
                    Интересно только, сколько на самом деле клиентов подпишут такой договор на клиент-банк? Думаю, немало - практика показывает, что они его не читают...

                    Для получения же лицензии необходимость получения упоминаемого сертификата не оговаривается. Однако я бы посмотрел на первого успешно лицензировавшего у себя несертифицированную СКЗИ. И не только из соображений абстрактного любопытства: так сложилось, что одна дружественная компания использует "Нотариус" и сильно не хочет его менять на что-либо другое, денег жалко...
                    /kiv

                    Комментарий


                    • #11
                      Погодите, погодите! Где в постановлении правительства сказано, что банки обязаны использовать сертифицированные СКЗИ? Ни в законе об ЭЦП, ни где-либо ещё такого не содержится. Это требование только для органов власти и для систем общего пользования. Даже МЦИ юзает несертифицированные средства (МАГ-Про).[/B]

                      Комментарий


                      • #12
                        Вдогонку.
                        Правда, лицензирование деятельности по распространению и тех.обслуживанию СКЗИ обязательно. При этом в лицензии ФАПСИ всегда упоминает только о "сертифицированных системах шифрования". В общем, не мытьём, так катаньем заставляют нас переходить на них.
                        В любом случае, этот переход лучше сделать. Во избежание юридических осложнений в спорных ситуациях, да и законы могут измениться. Вон наши украинские братья уже отказались от несертифицированных средств. Думаю, и у нас это не за горами...

                        Комментарий


                        • #13
                          ax3 Насчёт МАГа сведения устаревшие. Это в прошлом годе закончилось. Нане все живут на МАГ4, со всеми сертификатами и лицензиями...

                          При лицензировании теоретически, конечно, упоминается возможность вместо использования сертифицированных средств "предоставлять экземпляры и техдокументацию" - но пока прецедентов выдачи лицензий на таких условиях мне неведомо...
                          /kiv

                          Комментарий


                          • #14
                            Получил письмо от "Криптокома" — предлагают новый, сертифицированный продукт для подписи и шифрования в "клиент-банке". 50 удаленных клиентов обойдутся ~ в 3.500$ дополнительных расходов ... Без комментариев.

                            Комментарий


                            • #15
                              deus_ex
                              Сертифицированный продукт СКЗИ не может стоить 10$ (исключения есть, но очень немного).
                              Но всё равно - что-то многовато хотят. Для систем типа "Банк-Клиент" вполне подошла бы "Крипто-Про" ценой 25-30 у.е. за место. Это универсальная система, и сертификат тоже имеется.[/B]

                              Комментарий


                              • #16
                                ax3 У них один удостоверяющий центр на 10 аб. 800$, если аб. >10, то
                                стоимость будет 800$+N*5$, хотя, насчет $ я погорячился, написано у.е., а
                                в свете последних событий это может быть и евро. Далее: софт для обеспечения пункта изготовления ключей 300 у.е., как минимум одно рабочее место в банке
                                30 у.е., если сам генерируешь ключи для клиентов, и 50 у.е., если клиенты генерируют сами, и, соответственно, ключи для клиентов 30 у.е., если делаешь ты и 50, если они. И еще некий модуль "Аккорд", о цене которого ничего не сказано.

                                Комментарий


                                • #17
                                  deus_ex
                                  Во-первых, фразы "удостоверяющий центр" и "сертификат ключа" я бы лучше вообще не упоминал, т.к. закон об ЭЦП очень сырой, и открытие УЦ может иметь та-акие юридические последствия, о которых большинство пользователей даже не подозревают. Не случайно ФАПСИ до сих пор не лицензирует деятельность таких центров. Мы у себя приостановили создание УЦ, хотя всё к нему подготовили.
                                  Во-вторых, если не секрет, какую СЗИ используете? Имеет ли она сертификат? 800 у.е. для банковского ядра (ЦВК) - это недорого, если система сертифицированная. А вот доплачивать за каждого абонента по 5 у.е. (не считая стоимости самого ключа) - это они загнули. Например, Крипто-Про и СигналКом обходятся без этого, там цена ЦВК фиксированная независимо от количества абонентов.
                                  "Аккорд" - это программно-аппаратное средство для защиты рабочего места. Вообще-то его покупать не обязательно (обычно этого требует РКЦ для станций, отправляющих рейсы), но если надумаете - обойдётся от 400 до 700$ в зависимости от конфигурации. Это цены ОКБ "САПР" (Москва).
                                  Удачи!
                                  Альберт

                                  Комментарий


                                  • #18
                                    ax3
                                    Во-первых, фразы "удостоверяющий центр" и "сертификат ключа" я бы лучше вообще не упоминал, т.к. закон об ЭЦП очень сырой, и открытие УЦ может иметь та-акие юридические последствия, о которых большинство пользователей даже не подозревают. Не случайно ФАПСИ до сих пор не лицензирует деятельность таких центров. Мы у себя приостановили создание УЦ, хотя всё к нему подготовили.
                                    А какие такие страшные последствия? Подготовить требования к УЦ (для систем общего пользования, прошу заметить) поручено "правительству РФ", которое еще не определилось. Будет неподъемно - называем все это безобразие корпоративной системой, и идем мимо этих требований. Но не думаю, что они будут жестче ЦБшных для помещений машин связи с РКЦ или машин для генерации ключей
                                    В конце концов, всегда можно вообще пойти на попятную, заявив, что не будете "удостоверять идентичность ЭЦП" (именно это подлежит лицензированию), а лишь выпускать сертификаты и CRL (уж на это отдельной лицензии не надо).
                                    Другое дело, что и банкам, и клиентам финансово выгоднее было бы иметь единый УЦ (на крупный город), чтобы можно было получить СЕРТИФИКАТ и работать им с любым банком; но это потребует унификации СКЗИ, которая, похоже, невыгодна производителям (судя по вялости попыток ее произвести, во всяком случае, я слышал только о пакте Сигнал-Ком - Новый Адам - Крипто-Про )
                                    Earl Vlad Drakula. ///

                                    Комментарий


                                    • #19
                                      А есть кто каналы шифрует/криптует в онлайне ?

                                      Комментарий


                                      • #20
                                        hugevlad и банкам, и клиентам финансово выгоднее было бы иметь единый УЦ (на крупный город), чтобы можно было получить СЕРТИФИКАТ и работать им с любым банком; но это потребует унификации СКЗИ,
                                        Мда... Кажется, опять в России изобретают велосипед с бронезащитой и противотанковой пушкой. Ну почему на все США с Канадой, где электронных магазинов, электронных банков, кардхолдеров - на порядок больше, чем у нас здесь, достаточно нескольких УЦ (ну лично мне приходят на ум только VeriSign и Thawte, хотя помню список - там их было штук 20 где-то)? Зачем в _каждом городе_ свой собственный? Не понимаю.

                                        И "унификация" пресловутая. В чем сложность проверить подпись этого самого УЦ под этим самым открытым ключом подписи - да только одна. При всей нашей любви к ГОСТам, ОСТам и прочим стандартам (и при "свободном рынке" на Западе) ничего стандартного в этой стране не было никогда - кроме цельнотянутого у супостата. По крайней мере, в области автомобилестроения и компьютерной техники...

                                        Вот, я так понимаю, что ФАПСИ и размышляет - узаконить RSA или пусть пока без УЦ поживём...
                                        /kiv

                                        Комментарий


                                        • #21
                                          Илюха
                                          Ну почему на все США с Канадой, где электронных магазинов, электронных банков, кардхолдеров - на порядок больше, чем у нас здесь, достаточно нескольких УЦ (ну лично мне приходят на ум только VeriSign и Thawte, хотя помню список - там их было штук 20 где-то)? Зачем в _каждом городе_ свой собственный? Не понимаю.
                                          Объясняю
                                          В УЦ надо передать запрос на сертификат надежным способом. И не менее надежным способом получить сертифкаты (свой и УЦ) оттуда. Если сертификаты УЦ у буржуев "разбрасывают с вертолета" в составе браузеров, то со своим - сложнее. Вот, сгенерировал я пару ключей. Чтобы УЦ (CA) сделал мне сертификат, он должен удостоверить мою личность и как-то зафиксировать, что я (Вася Пупкин) передал ему на сертификацию именно эту последовательность байт. Мне что, ломиться в Thawte? Или распечатывать запрос на сертификат, заверять у нотариуса вместе с копией паспорта (что запрещено, кстати) и отправлять заказным письмом параллельно с емейлом?
                                          Нет, ребята, так не пойдет. Если сделать "несколько крупных центров", они все будут в пределах МКАД. Нужна иерархия УЦ и кроссертификация. Или, хотя бы, разбивка УЦ на "сертификационный центр" и кучу разброосанных "регистрационных центров", в которые я собственно и должен обращаться.

                                          И "унификация" пресловутая. В чем сложность проверить подпись этого самого УЦ под этим самым открытым ключом подписи - да только одна. При всей нашей любви к ГОСТам, ОСТам и прочим стандартам (и при "свободном рынке" на Западе) ничего стандартного в этой стране не было никогда - кроме цельнотянутого у супостата.
                                          О том и спич. Взять любые 2 библиотеки с реализацией RSA, они RSAшные подписи взаимно проверят (если придерживаться одинаковых структур). А с ГОСТом - грабли, в частности из-за использования в функции хеширования ГОСТ 28147, в котором есть совершено феерическая вещь под названием "нефиксироованный узел замены".

                                          Вот, я так понимаю, что ФАПСИ и размышляет - узаконить RSA или пусть пока без УЦ поживём...
                                          А по моим данным, ФАПСИ ждет, когда же наконец правительство РФ поручит ему разработать требования к УЦ, которые у него уже давно (как рояль в кустах) есть.
                                          Earl Vlad Drakula. ///

                                          Комментарий


                                          • #22
                                            ax3 Мы используем ланкрипто для удаленных клиентов, вещь достаточно простая и удобная, сертификата они не имеют и принципиально не хотят. В предыдущем банке для уд. клиента использовали магпро, (еще в 98 году),
                                            по сравнению с ланкрипто регистрация ключей клиента на порядок более мутная вещь. Посмотрел еще раз письмо "Криптокома" — там действительно предлагается " ... комплект _удостоверяющего центра_ (в оригинале подчеркнуто) в составе:
                                            — центра регистрации абонентов;
                                            — эталонного комплекта для разбора конфликтных ситуаций;"
                                            И ФАПСИ выдало на это сертификат СФ/114-0575, так что "Криптоком" де факто
                                            делает (сделал?) свои продукты неким стандартом.

                                            Комментарий


                                            • #23
                                              AAL
                                              А есть кто каналы шифрует/криптует в онлайне ?
                                              На первую половину вопроса могу ответить "да", а вот что такое "криптование" - простите, не знаю
                                              Ладно, этот придирки к терминологии. Суть вопроса-то в чем? Чем каналы шифровать? Навскидку можно назвать несколько сертифицированных средств и просто КУЧИ несертифицированных, начиная от встроенноого шифрования в маршрутизаторах CISCO, и заканчивая целым сонмом однодискетных (и не только) линуксов, БСД и т.п.
                                              Earl Vlad Drakula. ///

                                              Комментарий


                                              • #24
                                                deus_ex
                                                И ФАПСИ выдало на это сертификат СФ/114-0575, так что "Криптоком" де факто делает (сделал?) свои продукты неким стандартом.
                                                ФАПСИ много на что выдало сертификат, в том числе и на CryptoPro CSP, роль УЦ для которого играет стандартный мелкософтовский СА. Равнно как и на криптоядро компании "Сигнал-Ком", предлагающей комплекс NotaryPro на его базе, тоже, фактически, являющийся УЦ.
                                                Earl Vlad Drakula. ///

                                                Комментарий


                                                • #25
                                                  ...
                                                  Последний раз редактировалось Dmitrieva; 13.05.2008, 12:46.

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X